在 NPM 儲存庫中 四個軟體包中存在惡意活動,其中包括預先安裝腳本,該腳本在安裝軟體包之前向 GitHub 發送一條評論,其中包含有關用戶的 IP 位址、位置、登入名稱、CPU 型號和主目錄的資訊。 包中發現惡意程式碼 (255 次下載), (78 次下載), (48 次下載)和 (37 次下載)。
問題包於 17 月 24 日至 XNUMX 月 XNUMX 日發佈到 NPM 進行分發,使用 , IE。 指派與其他流行庫的名稱類似的名稱,並期望使用者在鍵入名稱時會出現拼字錯誤,或在從清單中選擇模組時不會注意到差異。 從下載量來看,大約有 400 名用戶上當,其中大多數人將 electorn 與 Electron 混淆了。 目前有 electorn 和 loadyaml 套件 由 NPM 管理部門刪除,lodashs 和 loadyml 軟體包被作者刪除。
攻擊者的動機尚不清楚,但推測透過 GitHub 洩露的資訊(評論是透過 Issue 發送的,並在 XNUMX 小時內被刪除)可能是在評估該方法有效性的實驗期間進行的,或者是攻擊計劃分幾個階段進行,第一個階段收集受害者的數據,第二個階段由於阻止而未能實施,攻擊者打算發布一個更新,其中包含更危險的惡意程式碼或後門新版本。
來源: opennet.ru